ISO27017标准的具体内容
ISO27017 标准的具体内容如下:
一、标准概述
全称:ISO/IEC 27017 云服务信息安全管理体系(Cloud Services Information Security Management System,简称 CSISMS)。
定位:针对云服务环境下信息安全性的国际标准。
基础:建立在 ISO/IEC 27001 信息安全管理体系框架和 ISO/IEC 27002 最佳实践控制设置的基础之上。
二、核心内容
ISO27017 标准不仅提供了基于 ISO/IEC 27002 标准中多个控制措施的针对云服务的特殊要求,还介绍了 7 个全新的云服务控制措施,以解决云服务特有的信息安全问题。具体内容包括:
云服务提供商和云服务客户关系的管理:
明确负责云服务提供商和云服务客户关系的人是谁。
确保双方在信息安全方面的角色和责任清晰明确。
合同终止时的资产处理:
规定当合同终止时,如何安全地移除或归还云服务客户的资产。
确保客户数据在合同终止后得到妥善处理。
客户虚拟环境的保护和分离:
确保不同客户的虚拟环境相互隔离,防止数据泄露和干扰。
提供虚拟环境的保护机制,确保客户数据的安全。
虚拟机配置管理:
对虚拟机进行安全配置,防止安全漏洞和攻击。
确保虚拟机的安全性和稳定性。
云环境相关操作的管理和监控:
对云环境中的操作进行管理和监控,确保操作符合信息安全要求。
提供云环境操作的管理和监控机制,确保操作的合规性和安全性。
云服务客户监控云中活动:
允许云服务客户监控其在云中的活动,增强透明度和信任度。
提供云服务客户监控云中活动的机制,确保客户对其数据的掌控力。
虚拟和云网络环境的对接:
确保虚拟网络和云网络环境的对接安全,防止网络攻击和数据泄露。
提供虚拟和云网络环境对接的安全机制,确保网络环境的安全性和稳定性。
三、其他相关内容
云服务提供商的安全策略和控制:ISO27017 标准还涵盖了云服务提供商在信息安全方面的策略和控制措施,确保云服务的安全性和可靠性。
云服务提供商的运营管理:包括供应链安全、合同管理、服务备份和恢复等,确保云服务的运营过程符合信息安全要求。
客户数据和应用程序的安全性:涉及隐私保护、网络安全、身份验证和访问控制等,确保客户数据和应用程序在云中得到充分保护。
四、适用范围
ISO27017 标准适用于云服务提供商和云服务客户,不仅与将信息存储在云中的组织有关,还与向可能拥有敏感信息的其他公司提供基于云的服务的提供商有关。
